autor: Bartosz Faryna
Ponad 2,8 mln złotych kary dla Morele.net za wyciek danych
Serwis internetowy Morele.net został ukarany przez Urząd Ochrony Danych Osobowych grzywną w wysokości ponad 2,8 mln złotych za wyciek danych osobowych swoich klientów. Zdaniem ekspertów jest to najwyższa nałożona do tej pory kara finansowa w polskim systemie prawnym.
Dnia 10 września Urząd Ochrony Danych Osobowych nałożył na serwis Morele.net karę w wysokości 2 830 410 złotych. Według ekspertów jest to najwyższa kara finansowa w historii urzędu. Platforma musi zapłacić tak dużo, ponieważ jej pracownicy nie byli w stanie zapobiec atakowi hakerskiemu, w wyniku którego dane osobowe użytkowników trafiły w niepowołane ręce. Firma, nie stosując wystarczających środków technicznych ochrony naruszyła m.in. określoną w RODO zasadę poufności.
Do wycieku danych ponad dwóch milionów klientów doszło w nocy 18 grudnia zeszłego roku. W niepowołane ręce trafiły m.in. imiona, nazwiska, adresy mailowe oraz numery telefonów użytkowników. Dodatkowo w przypadku około 35 tys. osób wyciekły również wszystkie dane znajdujące się na wnioskach o przyznanie kredytu. Mówimy tu m.in. o numerach PESEL, seriach oraz numerach dowodów osobistych, adresach zamieszkania, źródłach utrzymania itd.
Firma Morele.net nie zgadza się z oceną zebranego materiału dowodowego i zamierza odwołać się od decyzji. Dodatkowo przedstawiciele portalu stanowczo nie zgadzają się, aby skutek ataku hakerskiego nazywany był „wyciekiem”.
UODO podkreśla, że kara nałożona na serwis i tak jest stosunkowo niska, ponieważ Morele.net zdecydowało się na pełną współpracę z urzędnikami i nie utrudniało czynności prawnych związanych ze sprawą.
Warto w tym miejscu dodać, że kara jest niemal sześciokrotnie wyższa od kwoty, jakiej zażądał haker, który włamał się do bazy danych serwisu – wynosiła ona zaledwie 500 tys. złotych, co w porównaniu z trzema milionami kary wcale nie wygląda na dużo.
W całej tej sprawie doszło do znacznie większej liczby zaniedbań. Dla przykładu firma nie zresetowała haseł użytkowników, mimo iż szantażysta zapowiedział, że posiada wszystkie niezbędne dane, aby dostać się na konta ponad 350 000 osób. Portal jedynie zachęcał klientów, aby na własną rękę zmieniali swoje hasła.